Sou novo no IPsec e enfrentei uma configuração que poderá em breve ser amplamente usada em nossas operações (desde que eu entenda isso, eventualmente ...).
Um roteador celular (blackbox da netModule, a partir de suas mensagens de log parece estar rodando Linux e OpenSwan) conecta uma rede de sensores nos sites dos clientes com o nosso servidor público. Precisamos ser capazes de nos conectar à rede local, então eu fiz com que o provedor de celular me desse um IP público (um dinâmico). A maneira como sua configuração funciona, os IPs públicos só permitem o tráfego IPsec.
Eu configurei o OpenSwan no nosso servidor Ubuntu (rodando o Jaunty). Esta é minha configuração de conexão de /etc/ipsec.conf :
conn gprs-field-devices
left=my.pub.lic.ip
[email protected]
#leftsubnet=192.168.1.129/25
right=%any
[email protected]
#rightsubnet=192.168.1.1/25
#rightnexthop=%defaultroute
auto=add
No roteador, tudo que tenho é a interface do usuário da Web, na qual fiz as seguintes configurações:
- "Ponto de extremidade remoto": IP público do servidor, igual à "esquerda" acima
- "Endereço de Rede Local": 192.168.1.1
- "Máscara de rede local": 255.255.255.128
- "Endereço de rede remota": 192.168.1.129
- "Máscara de rede remota": 255.255.255.128
O processo do pluto no servidor está escutando conexões na porta 500. Ele não pode abrir um túnel, obviamente, porque não sabe em qual IP o cliente está.
Eu configurei uma senha como PSK para @field.econemon.com em /etc/ipsec.secrets e também a configurei no roteador (que parece não suportar certificados).
Meu problema é que nada acontece. O roteador apenas diz que o IPsec está "inativo". Quando copio e colo o IP em ipsec.conf (para "right=") e peço ao servidor para ipsec auto --up gprs-field-devices , ele simplesmente trava até eu pressionar Ctrl-C .
Há algo de errado com minha configuração? Como posso depurar isso mais?
Meu roteador fornece os seguintes loglines que parecem relacionados, mas não digam me nada:
Feb 21 23:08:20 Netbox authpriv.warn pluto[2497]: loading secrets from "/etc/ipsec.secrets"
Feb 21 23:08:20 Netbox authpriv.warn pluto[2497]: loading secrets from "/etc/ipsec.d/hostkey.secrets"
Feb 21 23:08:20 Netbox authpriv.warn pluto[2497]: loading secrets from "/etc/ipsec.d/netbox0.secrets"
Feb 21 23:08:20 Netbox authpriv.warn pluto[2497]: "netbox00" #1: initiating Main Mode
Feb 21 23:08:20 Netbox daemon.err ipsec__plutorun: 104 "netbox00" #1: STATE_MAIN_I1: initiate
Feb 21 23:08:20 Netbox daemon.err ipsec__plutorun: ...could not start conn "netbox00"
Feb 21 23:08:22 Netbox authpriv.warn pluto[2497]: packet from 188.40.57.4:500: ignoring informational payload, type NO_PROPOSAL_CHOSEN
Feb 21 23:08:22 Netbox authpriv.warn pluto[2497]: packet from 188.40.57.4:500: received and ignored informational message
Feb 21 23:08:28 Netbox user.warn parrot.system_controller[762]: IPSECCTRLR: Tunnel 0 is down for 0 seconds
Feb 21 23:08:40 Netbox user.warn parrot.system_controller[762]: IPSECCTRLR: Tunnel 0 is down for 10 seconds
Feb 21 23:08:52 Netbox authpriv.warn pluto[2497]: packet from 188.40.57.4:500: ignoring informational payload, type NO_PROPOSAL_CHOSEN